Lorenzo es el experto en seguridad en este grupo (a ver si se decide a entrar de una vez 😉), pero me atrevo a aventurar que el exploit, el agujero de seguridad más grande que existe, es el factor humano. Igual algún día que otro escucháis o leéis algo de que se ha descubierto un error día cero de algún sistema operativo o de algún dispositivo. No hace tanto se hablaba del efecto 2000, el exploit de todos los procesadores Intel… cosas así.
Igual no son muy conocidas por el gran público salvo honrosas excepciones pero poco se habla del factor humano como vector de riesgo irrenunciable.
Te cuento.
Erase una vez un humano…
… no hace demasiados días, que abrió un correo. Estaba, como solemos estar en demasiadas ocasiones en todos los trabajos, haciendo tareas en un Word, un Excel, quizás en el programa propio de la empresa… y con el Gmail abierto de fondo en la segunda pantalla. De repente un correo nuevo.
«Aquí tienes el justificante de la transferencia» y un PDF adjunto.
El humano deja inmediatamente el trabajo que estaba haciendo, abre el correo y le da a visualizar el PDF. No se abre el PDF, raro. Normalmente Gmail en el navegador lo previsualiza, no lo descarga de primeras. Se escama. Ve que efectivamente hay un nuevo archivo en la carpeta de descargas. Con el nombre de TRANSFERENCIA, pero ya no es un PDF. Se escama aún más, lee el correo donde una tal Anacleta (nombre obviamente inventado) le dice que le envía el justificante de la transferencia y las instrucciones de entrega. ¿Qué entrega? ¿Quién es Anacleta? Afortunadamente procede al comodín de la llamada. «Dani, igual me vas a matar pero….» y me lo cuenta.
Efectivamente se trataba de un virus con todas las de la ley que se había colado hasta la mismísima puerta de la cocina. Sólo le faltó el último empujón: que hubiera pulsado en el archivo que no se había abierto. Por suerte, no pasó de ahí, pero estuvo muy muy cerca
No es que tú seas tonto, es que ellos saben como engañarte
Por supuesto esto que te acbo de contar es totalmente cierto y sucedió en mi empresa hace unos días. El factor humano, como en tantas ocasiones, había fallado. Y como le dije al humano al que se la colaron, no es que tú seas tonto, es que ellos son muy listos. Aún así, insistí en los elementos que, a mi modesto entender, habían hecho que la trampa funcionara.
Urgencia
No tienen que decirte que alguien se ha muerto, simplemente apelan a algo que llame tu atención y que pueda requerir algo por tu parte. Una transferencia, un pago retenido, un cobro realizado, una cuenta bloqueada… algo que sin ser del todo grave, si reclame tu atención. Consiguen que tus alertas se centren en ese tema y no en sí en el correo. Es más fácil que no te des cuenta de que no hay una firma, que no conoces al remitente, que viene de un dominio raro… Ya mirarás todo eso luego, ahora lo importante es solucionar ese posible problema.
Camuflaje
¿Qué hay ante nuestros ojos más inocente que un PDF? ¿Cuantos abrimos al cabo del día? De todo tipo, forma y color. No desconfiamos cuando en la miniatura aparece un PDF. Ni siquiera nos damos cuenta de que la extensión no coincide, que sólo es una imagen que aparenta ser la miniatura de un PDF.
No ves un enlace que te lleve a ningún sitio raro, no se abre nada que te pida usuario ni contraseña, simplemente es un PDF para ver. Y si no se abre solo, pues te vas a descargas y lo abres desde ahí, porque esas cosas pasan, que el PDF no se abra sólo no es habitual, pero pasa.
Todo está muy bien camuflado.
Multitarea
Es el mal de nuestros días. Los humanos/usuarios estamos siempre haciendo varias cosas a la vez. Ya no usamos las dos pantallas (quien nos iba a decir que iba a ser prácticamente el standard hoy en día tener dos pantallas) para tener en una una web y en la otra el documento donde estamos copiando o cosas así. Tenemos muchas veces en la segunda pantalla la fuente de nuestras distracciones. El correo, la mensajería, alguna cámara para saber si entra alguien…
La multitarea es el mal de nuestros tiempos, lo que más puede hacer que el factor humano falle. Seguramente si ese correo llega cuando tienes tu atención puesta en el correo, te salten alarmas. Veas todas esas señales que te he comentado antes, pero es que la atención no estaba ahí. Estabas en otras cosas y de repente acudes a esa llamada con premura, sin la atención que se merece. Simplemente porque estás leyendo casi de manera inconsciente esos encabezados que llegan y ese te ha llamado la atención.
Algún día hablaremos en alguna de las webs de lo de la multitarea pero hoy sólo quédate con esto: es importante que las cosas que entrañen potencial peligro se hagan en monotarea. Nadie se imagina a un obrero trabajando con una sierra radial mientras con la otra mano responde un guasap. Aunque sea de su jefe.
Despreocupación
Ojo, no me leas mal. No digo ni mucho menos que esta persona sea despreocupada. Digo que al día puede recibir, como muchos de nosotros, decenas de correos. Y todos se abren, y nunca pasa nada. Y la guardia, como es natural se baja. Las primeras veces que conduces tienes todos los sentidos puestos pero a medida que pasan los años y las horas de conducción te confías de manera natural. Ya controlas, nunca pasa nada y simplemente se convierte en algo rutinario.
Un dia tienes un pequeño roce y se te encienden las alertas. Durante unos días vas en tensión de nuevo. Mirando 7 veces antes de meterte en una rotonda. Controlando a cada 3 segundos lo que pasa a tu alrededor por los retrovisores. Y hasta te duele la espalda de la tensión. Pero dura unos días. Al poco tiempo la mente lo vuelve a convertir en rutina.
Seguramente este humano estará unos días mirando con lupa cada correo. Y los compañeros que me escucharon. Y a los que di la charla después… pero volverán a bajar la guardia, porque es ley de vida.
¿Consejos?
Si vuelves a leer el apartado despreocupación entenderás que difícilmente puedo dar algún consejo. Ten cuidado con lo que abres, céntrate en el correo cuando lo proceses, ten copias de seguridad de todo porque nadie (insisto: NA-DIE) está a salvo de que le pase… pero creo que a día de hoy casi todo tenemos estas cosas más o menos en mente.
Seguramente si estás aquí es porque te interesan estas cosas y puede que incluso tengas humanos que dependen de tus conocimientos para estar lo más seguros posibles. Haz todo lo que esté en tu mano. Dice mucho Dekar que hay que tener unas medidas de seguridad suficientes y proporcionadas, porque la seguridad total no existe.
El factor humano, por muy formado que esté en estas lides, sigue estando ahí. Todo somos, me incluyo, susceptibles de caer. Aún así, no abandones. Revisa de vez en cuando tus protocolos de seguridad, dales una charla periódica para recordarles lo que ya saben, por muy pesado que seas. Aprovecha que les muestres algún sistema nuevo pare refrescar.
Mantén tus sistemas al día y, por muy peñazo que sea, intenta proteger. Aún recuerdo los tiempos en los que yo deshabilitaba todos los antivirus, cortafuegos y daba permisos de administrador a todos los usuarios para que no estuvieran todo el día pidiendo permisos o con problemas de conexión. Lo pienso y no me lo creo, pero así lo hacía.
Si el factor humano eres tú, no te dejes llevar por la confianza. Mantén siempre la alerta y pon todas las medidas a tu alcance. Igual no le interesas a nadie lo suficiente como para que vayan a por ti, que es lo que muchas veces pensamos como personas humanas. Pero estas técnicas no van a por ti, van a por cualquiera. Al primero que pillen. Es muy barato enviar 7 millones de correos y ver qué pescas.
Ninguno estamos a salvo y todos podemos ser el factor humano por el que se cuelen.